Nel recente scenario internazionale, si affaccia un malware nato per distruggere. Obiettivo? I documenti di organizzazioni governative e bancarie Ucraine.
Si chiama HermeticWiper, conosciuto come il malware della guerra tra Russia e Ucraina, è non sembra avere nulla a che vedere con i famosi ransomware, dei quali tanto si parla negli ultimi anni. L'obiettivo di questo malware sarebbe, infatti, la distruzione di documenti presenti sui server delle Istituzioni Ucraine e del mondo finanziario. Nessuna richiesta di riscatto. Nessun tentativo di monetizzare. Non sorprende che l'allarme si sia esteso rapidamente ad altri paesi, inclusa l'Italia, perché un malware di questo tipo in circolazione, anche se non certamente nuovo nelle sue modalità, spaventa tutti e spinge a creare soluzioni mirate per proteggere le infrastrutture informatiche, rafforzandone le difese.
Gli esperti si sono già messi all'opera per cercare di capire come funziona e come contrastarlo, individuando alcune caratteristiche specifiche di HermeticWiper. In primo luogo realizza attacchi altamente mirati, che non sfruttano le principali tecniche conosciute per la diffusione di virus informatici. Gli attacchi necessitano dei privilegi di amministratore e presentano delle somiglianze con gli attacchi ransomware effettuati utilizzando NotPeya nel 2017.
I malware Wiper.
Quando si parla di cyber attacchi, in genere ci si riferisce a codici pericolosi che appartengono a tre grandi categorie: quelle che mirano a monetizzare criptando o vendendo le informazioni ottenute, quelli sviluppati nell'ambito dello spionaggio industriale, utilizzati quindi solo per ottenere informazioni da utilizzare a proprio vantaggio, e quelli, molto più pericolosi, che vogliono solo distruggere. Questi ultimi sono denominati "Wiper", termine che deriva dal verbo inglese to wipe, che significa cancellare. Alcuni di questi sono talmente potenti e subdoli che sono in grado di cancellare anche se stessi, rendendo impossibile l'individuazione del malware stesso.
Nelle ultime settimane questo tipi di malware è stato identificato in diìversi attacchi ldiretti verso l'Ucraina, anche se non sebrano esserci ancora sufficienti dati per stimare il numero dei dispositivi colpiti, si parla di centinaia di vittime. Tuttavia, proprio a seguito di questa escalation, le autorità europee hanno alzato il livello di guradia, sollecitando il settore ad attivare misure di protezione adeguate. Dall'analisi del malware rilevato in Ucraina, sembrerebbe che sia stato creato verso la fine dell'anno scorso, e che quindi la serie di attacchi sia stata preparata già da tempo, attraverso l'accesso al sistema delle vittime ben prima del lancio dell'attacco. Infine il nome. Gli analisti, dal certificato digitale sarebbero risaliti ad una società con sede a Cipro chiamata Hermetica Digital Ltd. Ecco il nome HermeticWiper.
Gli attacchi in Ucraina.
Nelle ultime settimane si è visto una crescita esponenziale degli attachi diretti verso l'Ucraina, che pur non è nuova a questo tipo di scenario. Ciò che preoccupa maggiormente sono gli obiettivi: più sono strategici e sensibili maggiore è il rischio per la popolazione civile. Se infatti ad essere distrutti fossero i sistemi di infrastrutture critiche che gestiscono servizi primari come luce, acqua o sanità, le conseguenze potrebbero essere disastrose su una popolazione già colpita dalla guerra convenzionale. Ad oggi sono stati colpiti siti web con attacchi DDoS, enti governativi e soprattutto il settore finanziario.
